Lutte antispam : Microsoft met Sender ID à la portée des éditeurs tiers

 Oracle du point de vue de l'intrus

Récemment, Oracle a fait l'objet de failles de sécurités qui n'ont pas été démenties. Un évènement qui a fait du bruit dans la communauté informatique, puisque considéré jusqu'à présent comme sûr, Oracle faisait partie de ces "produits sans failles" et son slogan publicitaire, en 2002, était : Oracle - the Unbreakable . Mais quand est-il réellement ?  Pour permettre a chacun de se faire une idée, je vous livre un article écrit par Wojciech Dworakowski en Janvier 2003.

Christophe D. TSSI

L'article constitue la récapitulation de plus de deux ans d'expériences dans les tests des systèmes de sécurité Oracle. La plupart des informations proviennent des ressources disponibles sur Internet.

Les produits Oracle dominent le marché des bases de données. Plusieurs services de fourniture d'accès à des données fonctionnent sur cette plate forme (aussi via Internet). Ces bases sont également très populaires au sein des entreprises. Le slogan publicitaire d'Oracle en 2002 était : Oracle – The Unbreakable. Est-ce vrai ? Dans le présent article, je tenterai de vous montrer les dangers dus aux installations standard des produits Oracle.

Tout d'abord, je tiens à souligner que je n'ai pas l'intention de viser particuliérement la société Oracle, de désavouer ses démarches marketing ou de suggérer que DBMS Oracle est dangereux ou troué comme une écumoire. Mon objectif est plutôt de démontrer que chaque produit est exposé aux fautes des développeurs et concepteurs quels qu'ils soient, et quoi qu'on dise dans la publicité. Oracle 9i est un bon produit de base de données dont la participation au marché devient de plus en plus importante. Mais les grandes entreprises et les produits renommés peuvent avoir aussi des défauts. Il ne faut pas oublier ce fait et croire naïvement aux slogans publicitaires. Non sans raison, la devise de l'Agence Nationale de Sécurité des Etats Unis est : nous ne croyons qu'en Dieu – tout autre chose doit être vérifiée.

Toutes les erreurs décrites concernent l'installation standard. Il est possible de les éviter grâce à l'utilisation des correctifs et des prescriptions de l'éditeur, ou bien en supprimant la fonctionnalité excessive dans les installations de production.

La première partie de l'article concerne les attaques possibles à partir du réseau local. Généralement, je me concentrerai sur les imperfections du service Listener. Dans la deuxième partie, je décrirai quelques dangers liés aux serveurs d'applications Internet établies à partir d'Oracle. Cette dernière partie s'intéressera principalement aux modules du service Apache, intégré dans les solutions Oracle.

Un peu d'histoire

Les produits de la société Oracle furent longtemps considérés comme des applications exemptes d'erreurs importantes liées à la sécurité. Cette opinion résultait probablement du faible intérêt accordé par les chercheurs à ces types de produits, à cause de leur accessibilité insuffisante. Pour avoir accès aux versions complètes des systèmes DBMS de la société Oracle, il fallait acheter les licences très chères. Tout a changé au moment où Oracle a commencé à rendre accessible les versions complètes sur Internet. Ces versions peuvent être utilisées pour le développement et les tests. Depuis à peu près deux ans, nous pouvons observer que ces produits captent l'intérêt des spécialistes qui s'occupent des tests de sécurité des applications et de la recherche des erreurs.

Ce fait a changé l'idée de l'éditeur sur les problèmes de sécurité liés au code des produits. Auparavant, Oracle voyait la sécurité seulement à travers les mécanismes de protection des données dans l'application.

En 2002 Oracle a publié plus de 20 informations sur les risques dans ses produits. De plus, les distributions standard d'oracle contiennent les composants Open Source, comme, p.ex. Apache qui, eux mêmes, peuvent comprendre des erreurs.

Téléchargez ici la suite de l'article